この規格ページの目次
JIS Q 27002:2014 規格概要
この規格 Q27002は、組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定,実施及び管理を含む,組織の情報セキュリティ標準及び情報セキュリティマネジメントの実践のための規範について規定。
JISQ27002 規格全文情報
- 規格番号
- JIS Q27002
- 規格名称
- 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範
- 規格名称英語訳
- Information technology -- Security techniques -- Code of practice for information security controls
- 制定年月日
- 2006年5月20日
- 最新改正日
- 2018年10月22日
- JIS 閲覧
- ‐
- 対応国際規格
ISO
- ISO/IEC 27002:2013(IDT)
- 国際規格分類
ICS
- 35.040
- 主務大臣
- 経済産業
- JISハンドブック
- リスク・セキュリティ・事業継続 2019, 情報セキュリティ・LAN・バーコード・RFID 2019
- 改訂:履歴
- 2006-05-20 制定日, 2010-10-01 確認日, 2014-03-20 改正日, 2018-10-22 確認
- ページ
- JIS Q 27002:2014 PDF [83]
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
pdf 目 次
ページ
- 0 序文・・・・[1]
- 0.1 背景及び状況・・・・[1]
- 0.2 情報セキュリティ要求事項・・・・[2]
- 0.3 管理策の選定・・・・[2]
- 0.4 組織固有の指針の策定・・・・[2]
- 0.5 ライフサイクルに関する考慮事項・・・・[3]
- 0.6 関連規格・・・・[3]
- 1 適用範囲・・・・[3]
- 2 引用規格・・・・[3]
- 3 用語及び定義・・・・[4]
- 4 規格の構成・・・・[4]
- 4.1 箇条の構成・・・・[4]
- 4.2 管理策のカテゴリ・・・・[4]
- 5 情報セキュリティのための方針群・・・・[4]
- 5.1 情報セキュリティのための経営陣の方向性・・・・[4]
- 6 情報セキュリティのための組織・・・・[6]
- 6.1 内部組織・・・・[6]
- 6.2 モバイル機器及びテレワーキング・・・・[8]
- 7 人的資源のセキュリティ・・・・[11]
- 7.1 雇用前・・・・[11]
- 7.2 雇用期間中・・・・[13]
- 7.3 雇用の終了及び変更・・・・[15]
- 8 資産の管理・・・・[16]
- 8.1 資産に対する責任・・・・[16]
- 8.2 情報分類・・・・[17]
- 8.3 媒体の取扱い・・・・[19]
- 9 アクセス制御・・・・[21]
- 9.1 アクセス制御に対する業務上の要求事項・・・・[21]
- 9.2 利用者アクセスの管理・・・・[23]
- 9.3 利用者の責任・・・・[26]
- 9.4 システム及びアプリケーションのアクセス制御・・・・[27]
- 10 暗号・・・・[30]
- 10.1 暗号による管理策・・・・[30]
- 11 物理的及び環境的セキュリティ・・・・[32]
- 11.1 セキュリティを保つべき領域・・・・[32]
(pdf 一覧ページ番号 1)
――――― [JIS Q 27002 pdf 1] ―――――
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
pdf 目次
ページ
- 11.2 装置・・・・[35]
- 12 運用のセキュリティ・・・・[39]
- 12.1 運用の手順及び責任・・・・[39]
- 12.2 マルウェアからの保護・・・・[42]
- 12.3 バックアップ・・・・[43]
- 12.4 ログ取得及び監視・・・・[44]
- 12.5 運用ソフトウェアの管理・・・・[46]
- 12.6 技術的ぜい弱性管理・・・・[47]
- 12.7 情報システムの監査に対する考慮事項・・・・[49]
- 13 通信のセキュリティ・・・・[50]
- 13.1 ネットワークセキュリティ管理・・・・[50]
- 13.2 情報の転送・・・・[51]
- 14 システムの取得,開発及び保守・・・・[55]
- 14.1 情報システムのセキュリティ要求事項・・・・[55]
- 14.2 開発及びサポートプロセスにおけるセキュリティ・・・・[57]
- 14.3 試験データ・・・・[62]
- 15 供給者関係・・・・[63]
- 15.1 供給者関係における情報セキュリティ・・・・[63]
- 15.2 供給者のサービス提供の管理・・・・[66]
- 16 情報セキュリティインシデント管理・・・・[67]
- 16.1 情報セキュリティインシデントの管理及びその改善・・・・[67]
- 17 事業継続マネジメントにおける情報セキュリティの側面・・・・[71]
- 17.1 情報セキュリティ継続・・・・[71]
- 17.2 冗長性・・・・[73]
- 18 順守・・・・[73]
- 18.1 法的及び契約上の要求事項の順守・・・・[73]
- 18.2 情報セキュリティのレビュー・・・・[76]
- 参考文献・・・・[79]
(pdf 一覧ページ番号 2)
――――― [JIS Q 27002 pdf 2] ―――――
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
まえがき
この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般財団法人日本
規格協会(JSA)から,工業標準原案を具して日本工業規格(日本産業規格)を改正すべきとの申出があり,日本工業標準
調査会の審議を経て,経済産業大臣が改正した日本工業規格(日本産業規格)である。これによって,JIS Q 27002:2006は
改正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
(pdf 一覧ページ番号 3)
――――― [JIS Q 27002 pdf 3] ―――――
日本工業規格(日本産業規格) JIS
Q 27002 : 2014
(ISO/IEC 27002 : 2013)
情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
Information technology-Security techniques- Code of practice for information security controls
0
序文
この規格は,2013年に第2版として発行されたISO/IEC 27002を基に,技術的内容及び構成を変更する
ことなく作成した日本工業規格(日本産業規格)である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
0.1 背景及び状況
この規格は,組織が,JIS Q 27001[10]に基づく情報セキュリティマネジメントシステム(以下,ISMS
という。)を実施するプロセスにおいて,管理策を選定するための参考として用いる,又は一般に受け入れ
られている情報セキュリティ管理策を実施するための手引として用いることを意図している。また,この
規格は,それぞれに固有の情報セキュリティリスクの環境を考慮に入れて,業界及び組織に固有の情報セ
キュリティマネジメントの指針を作成する場合に用いることも意図している。
形態及び規模を問わず,全ての組織(公共部門及び民間部門,並びに営利及び非営利を含む。)は,電子
的形式,物理的形式及び口頭(例えば,会話,プレゼンテーション)を含む多くの形式で,情報を収集,
処理,保存及び送信する。
情報には,書かれた言葉,数字及び画像そのものを上回る価値がある。知識,概念,アイデア及びブラ
ンドは,そのような無形の情報の例である。相互につながった世界では,情報も,情報に関連するプロセ
ス,システム,ネットワーク並びにこれらの運営,取扱い及び保護に関与する要員も,他の重要な事業資
産と同様,組織の事業にとって高い価値をもつ資産であり,様々な危険から保護するに値するものであり,
又は保護する必要がある。
資産は,意図的及び偶発的な脅威の両方にさらされるが,関連するプロセス,システム,ネットワーク
及び要員には内在的なぜい弱性がある。事業のプロセス及びシステムに対する変更,又はその他の外部の
変更(新しい法令,規制など)によって,新たな情報セキュリティリスクが発生することもある。すなわ
ち,脅威がぜい弱性を利用して,組織に害を及ぼす方法が無数にあることを考え合わせると,情報セキュ
リティリスクは常に存在する。有効な情報セキュリティは,脅威及びぜい弱性から組織を保護することで,
これらのリスクを低減し,これによって,資産に対する影響を低減する。
情報セキュリティは,方針,プロセス,手順,組織構造,並びにソフトウェア及びハードウェアの機能
を含む,一連の適切な管理策を実施することで達成される。これらの管理策は,組織固有のセキュリティ
目的及び事業目的を満たすことを確実にするために,必要に応じて確立,実施,監視,レビュー及び改善
をする必要がある。JIS Q 27001[10]に規定するISMSでは,一貫したマネジメントシステムの総合的な枠
組みに基づいて,包括的な情報セキュリティ管理策集を実施するため,組織の情報セキュリティリスクを
――――― [JIS Q 27002 pdf 4] ―――――
2
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
総体的に,関連付けて捉えている。
多くの情報システムは,JIS Q 27001[10]及びこの規格が意味するセキュリティを保つようには設計され
てこなかった。技術的な手段によって達成できるセキュリティには限界があり,適切な管理及び手順によ
って支えることが望ましい。実施する管理策の特定には,綿密な計画及び細部にわたる注意が必要である。
ISMSを成功させるには,その組織の全ての従業員がこれを支持する必要がある。株主,供給者又はその
他の外部関係者の参加が必要な場合もある。また,外部関係者による助言が必要な場合もある。
一般的には,有効な情報セキュリティは,組織の資産が十分に安全であり,危害から保護されているこ
とを経営陣及びその他の利害関係者に対して保証し,これによって事業を支えている。
0.2 情報セキュリティ要求事項
組織が組織自体のセキュリティ要求事項を特定することは,極めて重要である。セキュリティ要求事項
は,主に次の三つによって導き出せる。
a) 組織全体における事業戦略及び目的を考慮に入れた,組織に対するリスクアセスメント。リスクアセ
スメントによって資産に対する脅威を特定し,事故発生につながるぜい弱性及び事故の起こりやすさ
を評価し,潜在的な影響を推定する。
b) 組織,その取引相手,契約相手及びサービス提供者が満たさなければならない法的,規制及び契約上
の要求事項,並びにその社会文化的環境。
c) 組織がその活動を支えるために策定した,情報の取扱い,処理,保存,伝達及び保管に関する一連の
原則,目的及び事業上の要求事項。
管理策の実施に用いる資源は,管理策がなかった場合にセキュリティ問題から発生する可能性のある事
業損害に対してバランスがとれている必要がある。リスクアセスメントの結果は,次のことを導き,決定
することに役に立つ。
− 適切な管理活動
− 情報セキュリティリスクの管理の優先順位
− これらのリスクから保護するために選定された管理策の実施の優先順位
情報セキュリティリスクマネジメントに関する手引が,ISO/IEC 27005[11]に示されている。この手引に
は,リスクアセスメント,リスク対応,リスク受容,リスクコミュニケーション,リスクの監視及びリス
クのレビューに関する助言も含まれている。
0.3 管理策の選定
管理策は,この規格又は他の管理策集から選定することができ,また,固有の要求に合わせて新しい管
理策を適切に設計することもできる。
管理策の選定は,リスク受容基準,リスク対応における選択肢,及び当該組織が採用している全般的な
リスクマネジメントの取組みを基に下した組織的な判断に依存するものであり,また,全ての関連する国
内外の法令及び規制にも従うことが望ましい。管理策の選定は,徹底した防御を実現するために,管理策
が相互に作用し合う方法にも依存する。
この規格に規定する管理策の幾つかは,情報セキュリティマネジメントのための指導原理と考えられ,
ほとんどの組織に適用できる。管理策については,実施の手引とともに箇条5以降に更に詳しく示す。管
理策の選定及びその他のリスク対応の選択肢についての情報は,ISO/IEC 27005[11]に示されている。
0.4 組織固有の指針の策定
この規格を,組織に固有の指針を策定するための出発点としてもよい。この規格に規定する管理策及び
――――― [JIS Q 27002 pdf 5] ―――――
次のページ PDF 6
JIS Q 27002:2014の引用国際規格 ISO 一覧
- ISO/IEC 27002:2013(IDT)
JIS Q 27002:2014の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化
JIS Q 27002:2014の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ27000:2019
- 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語